安全与数据处理
SPHIOR Ops Console for Monday
本页面说明 SPHIOR("我们")如何保障 SPHIOR Ops Console for Monday("本应用")的安全,以及如何处理您的数据。有关我们对数据更广泛的处理方式,请参见我们位于 https://ops-console.sphior.com/privacy 的隐私政策。
1. 架构与数据处理
· 托管于 monday code。本应用运行于 monday.com 的托管基础设施(monday code)之上。我们不运营任何独立的外部数据库、日志转发器或分析管道。 · 不长期存储客户业务数据。看板与项目内容以临时方式处理——存放于内存中或短暂的暂存区中——并在操作完成后或交付至您所选云端后立即删除。 · 交付至您自己的云端。导出内容按您的指示交付至您自己的 Google Drive;我们不会保留任何副本。 · 传输中加密:每次 API 调用均采用 TLS,并由 monday.com 与 Google 平台强制实施。 · 静态加密:配置与令牌保存在 monday Storage/monday SecureStorage 中,由 monday.com 加密。Undo 快照以加密方式存储。
2. Undo 快照与保留
在执行任何破坏性操作(重复项合并、批量归档或查找与替换)之前,本应用会捕获一份 Undo 快照,以便您可以恢复。快照经过加密,具有 30 天的生存时间(TTL),并在 TTL 到期时自动删除。它们是本应用在单次操作持续时间之外唯一保留的客户内容。
3. 最小权限范围
本应用仅请求其功能所需的最低限度 monday.com 权限范围:me:read、account:read、boards:read、boards:write 以及 notifications:write。对 Google Drive 的访问仅限于 drive.file 权限范围,该范围仅授予对本应用自身创建的文件或您明确选择的文件的访问权限——绝不涉及您的整个 Drive。本应用不会请求最终用户密码或个人访问令牌;平台令牌由 monday.com 与 Google 管理。
4. 存储位置
· 配置、计划任务及任务设置 → monday Storage。 · OAuth 令牌(monday 以及,如已连接,Google)→ monday SecureStorage。 · Undo 快照负载 → 加密对象存储(BLOB),具有 30 天 TTL。 · 匿名使用计数 → 仅为聚合指标,不含任何个人数据,也不含任何看板内容。 SPHIOR 不运营任何外部客户数据数据库。
5. 漏洞管理与安全开发
· 自动化安全扫描。由于经过身份验证的 Web 安全审计是 SPHIOR 的核心业务,我们会定期并在重要发布之前,针对本应用的可达面运行静态分析(SAST)、依赖项/开源扫描(SCA)以及经过身份验证的动态测试(DAST)。 · 依赖项通过锁文件锁定版本;我们维护软件物料清单(SBOM),并在每次发布时对其进行审查。 · 发现的问题按照与 monday.com marketplace 安全要求一致的既定时限进行分级处置与修复。 · TypeScript 严格模式、ESLint 以及同行评审均在合并至 main 分支之前运行。任何机密均不会提交至源代码管理。
6. 安全事件响应
如发生影响本应用的已确认安全事件: 1. 在确认后 24 小时内启动分级处置。 2. 在确认存在实质性影响后 72 小时内向受影响的安装方发送客户通知,与 GDPR Article 33 的要求相一致。 3. 随后进行根因分析并制定修复计划;影响客户的修复通过 monday.com marketplace 更新管道发布。 4. 事件后总结将与受影响的客户共享,并在适当情况下公开汇总。 可疑的安全事件可随时报告至 security@sphior.com;我们将在 1 个工作日内予以确认。
7. 访问控制(内部)
· 最小权限。对源代码仓库、monday.com 开发者控制台以及生产部署的访问权限,仅按需授予本应用的维护人员。不使用任何共享账户或共享生产凭据。 · main 分支受保护,设有必需的状态检查(类型检查、lint 及测试必须在合并前通过)。 · 对所有可访问源代码、开发者控制台及部署工具的账户,均要求启用多重身份验证(MFA)。 · 访问名单至少每季度审查一次,并在不再需要时及时撤销。
8. 人工智能
本应用的核心功能——去重、查找与替换、批量归档、导出以及周期性项目——完全是确定性的。任何客户看板数据均不会发送至任何 AI 或机器学习服务,我们也不会使用您的数据来训练模型。
9. 负责任的披露
我们欢迎针对本应用的安全研究。请将发现的问题私下报告至 security@sphior.com,并附上描述、复现步骤、影响评估以及任何建议的缓解措施。我们承诺在 1 个工作日内确认您的报告,在 5 个工作日内给出初步分级处置决定,并且不对遵循本政策的善意研究人员采取法律行动。
10. 联系方式
安全事件:security@sphior.com 一般联系:support@sphior.com 隐私咨询:请参见位于 https://ops-console.sphior.com/privacy 的隐私政策
最后更新: 2026-07-11
